Qué es KYA (Know Your Agent): Guía Completa

Explicamos qué es el proceso KYA, por qué es necesario en la era de los agentes de IA, cómo funciona y qué implica para empresas que operan con agentes autónomos.

Qué significa KYA

KYA son las siglas de Know Your Agent (Conoce a tu Agente). Es el proceso mediante el cual una empresa identifica, verifica y monitoriza a los agentes de inteligencia artificial que interactúan con sus sistemas, servicios o clientes.

Si el KYC (Know Your Customer) verifica que una persona es quien dice ser, el KYA verifica que un agente de IA es lo que dice ser: quién lo ha creado, qué permisos tiene, en nombre de quién actúa y qué está autorizado a hacer.

Por qué existe el KYA

La adopción de agentes de IA está creciendo exponencialmente. En 2026, millones de agentes autónomos operan en internet realizando tareas en nombre de personas y empresas: reservan viajes, gestionan compras, negocian contratos, acceden a APIs y ejecutan transacciones financieras.

Este nuevo paradigma genera preguntas que el KYC tradicional no puede responder:

  • ¿Quién está detrás de este agente?
  • ¿Tiene autorización para realizar esta operación?
  • ¿Actúa en nombre de una persona real y verificada?
  • ¿Sus credenciales son legítimas o han sido falsificadas?
  • ¿Qué nivel de autonomía tiene y quién es responsable de sus acciones?

Sin un marco de verificación para agentes, las empresas se exponen a fraude automatizado a escala, suplantación de identidad mediante agentes, uso no autorizado de APIs y responsabilidades legales difusas.

Diferencia entre KYC y KYA

Concepto KYC KYA
Sujeto verificado Persona física o jurídica Agente de IA autónomo
Qué se verifica Identidad del individuo Identidad del agente, su creador y su principal
Documentación DNI, pasaporte, escrituras Credenciales de agente, certificados, tokens de delegación
Objetivo Prevenir fraude y blanqueo Prevenir fraude automatizado y uso no autorizado
Monitorización Transacciones del cliente Acciones y patrones del agente
Responsabilidad Del individuo Del principal (persona/empresa que delega en el agente)

El KYA no reemplaza al KYC. Lo complementa. Un agente de IA que realiza una transacción financiera necesita estar vinculado a un usuario verificado mediante KYC, y además su propia identidad y permisos deben estar verificados mediante KYA.

Cómo funciona el proceso KYA

Un proceso KYA completo se estructura en cuatro fases:

1. Identificación del agente

Cada agente debe tener una identidad verificable y única:

  • Identificador único: Un ID criptográfico que distingue al agente de cualquier otro.
  • Metadatos del agente: Nombre, versión, propósito declarado, modelo base y capacidades.
  • Creador/Desarrollador: Identificación de la empresa o individuo que ha construido el agente.
  • Principal: La persona o entidad en cuyo nombre actúa el agente.

2. Verificación de credenciales

Las credenciales del agente deben ser auténticas y vigentes:

  • Certificados de origen: Firma digital del desarrollador que garantiza la integridad del agente.
  • Tokens de delegación: Credenciales que demuestran que el agente tiene autorización explícita de su principal para realizar acciones específicas.
  • Cadena de confianza: Verificación de que toda la cadena — desde el desarrollador hasta el principal — está autenticada.

3. Verificación de permisos y alcance

No basta con saber quién es el agente. Hay que verificar qué puede hacer:

  • Scope de actuación: Qué operaciones está autorizado a realizar (consultar, comprar, transferir, firmar).
  • Límites: Importes máximos, frecuencia de operaciones, jurisdicciones permitidas.
  • Restricciones temporales: Ventanas de actividad, fechas de expiración de los permisos.

4. Monitorización continua

Al igual que en el KYC, la verificación no termina en el registro inicial:

  • Análisis de comportamiento: Detección de patrones anómalos que puedan indicar un agente comprometido o actuando fuera de su scope.
  • Rate limiting inteligente: Control de la velocidad y volumen de operaciones para detectar abuso automatizado.
  • Revocación en tiempo real: Capacidad de desactivar las credenciales de un agente inmediatamente si se detecta actividad sospechosa.

Riesgos de no implementar KYA

Fraude automatizado a escala

Un agente malicioso puede ejecutar miles de transacciones fraudulentas en minutos. Sin KYA, no hay forma de distinguir un agente legítimo de uno que ha sido comprometido o creado con intenciones fraudulentas.

Suplantación de agentes

Al igual que existen documentos de identidad falsos, existen agentes que se hacen pasar por otros. Un agente que finge ser el asistente autorizado de un cliente de alto patrimonio puede realizar operaciones que el cliente nunca aprobó.

Si un agente causa daños — una compra no autorizada, una filtración de datos, una transacción ilegal —, ¿quién responde? Sin KYA, la cadena de responsabilidad es imposible de trazar.

Abuso de APIs y servicios

Agentes sin verificar pueden consumir recursos de forma abusiva, realizar scraping masivo, manipular precios o explotar vulnerabilidades de forma automatizada.

KYA en la práctica: casos de uso

Servicios financieros

Un agente de IA que opera en nombre de un cliente para ejecutar inversiones o transferencias debe demostrar:

  • Que su principal ha sido verificado mediante KYC.
  • Que tiene autorización explícita para operar con los límites definidos.
  • Que sus credenciales son emitidas por un proveedor de confianza.

E-commerce y marketplaces

Agentes que realizan compras automáticas, comparan precios o gestionan devoluciones deben identificarse ante la plataforma. Esto previene la manipulación de inventarios, las compras masivas automatizadas y el abuso de promociones.

Plataformas de viajes y hostelería

Agentes que reservan vuelos, hoteles o experiencias en nombre de usuarios deben vincular su actuación a un usuario verificado, especialmente cuando la normativa exige identificación del viajero.

APIs empresariales

Cualquier API que exponga datos sensibles o permita operaciones de escritura debe verificar la identidad y los permisos del agente que la consume, no solo la API key, sino la identidad verificada del agente y su principal.

Marco técnico del KYA

Estándares emergentes

El ecosistema de identidad de agentes está madurando rápidamente:

  • Agent Protocol: Estándares abiertos para la comunicación entre agentes que incluyen capas de identificación y autenticación.
  • OAuth 2.0 para agentes: Extensiones del protocolo OAuth que permiten la delegación de permisos a agentes con scopes granulares.
  • Verifiable Credentials (VCs): Credenciales verificables emitidas por autoridades de confianza que certifican la identidad y los permisos del agente.
  • DID (Decentralized Identifiers): Identificadores descentralizados que permiten a los agentes tener identidades verificables sin depender de una autoridad central.

Arquitectura de confianza

Un sistema KYA robusto se basa en:

  • Trust registries: Registros de agentes verificados y sus credenciales.
  • Policy engines: Motores que evalúan en tiempo real si un agente tiene permisos para realizar una acción específica.
  • Audit trails: Registros inmutables de todas las acciones realizadas por cada agente para trazabilidad y compliance.

KYA y regulación

Aunque todavía no existe una regulación específica de KYA equivalente a las directivas AML/KYC, la tendencia regulatoria es clara:

  • EU AI Act: Establece obligaciones de transparencia y trazabilidad para sistemas de IA, incluyendo la identificación del proveedor y del deployer.
  • eIDAS 2.0: El marco europeo de identidad digital contempla la extensión de credenciales verificables a entidades no humanas.
  • NIST AI RMF: El framework del NIST para gestión de riesgos de IA incluye la gobernanza de agentes autónomos.

Es previsible que en los próximos años se desarrollen regulaciones específicas que obliguen a verificar la identidad de los agentes de IA que operan en sectores regulados.

Preguntas frecuentes sobre KYA

¿El KYA sustituye al KYC?

No. El KYA complementa al KYC. El agente debe estar vinculado a un usuario o empresa verificado mediante KYC. El KYA añade la capa de verificación del propio agente.

¿Quién es responsable de las acciones de un agente?

El principal: la persona o empresa que ha delegado en el agente. El KYA documenta esta cadena de delegación para que la responsabilidad sea trazable.

¿Necesito KYA si mi empresa no usa agentes de IA?

Si tu empresa expone APIs, servicios web o plataformas que pueden ser consumidos por agentes de terceros, sí. No controlas quién envía las peticiones, pero sí puedes verificar la identidad del agente que las realiza.

¿Cómo se detecta un agente que finge ser humano?

Mediante análisis de comportamiento (patrones de navegación, velocidad de interacción, fingerprinting), detección de automatización y, en procesos críticos, verificación biométrica que solo una persona real puede superar.

¿El KYA afecta al rendimiento de los agentes?

Con una implementación adecuada, la verificación añade milisegundos al proceso. Los tokens de sesión permiten verificar una vez y operar sin fricción adicional durante la sesión activa.

¿Tu plataforma interactúa con agentes de IA y necesitas verificar su identidad y permisos? Descubre cómo Joinble extiende la verificación de identidad al mundo de los agentes autónomos.

¿Listo para implementar KYC en tu negocio?

Contacta con nuestros expertos y descubre cómo Joinble puede ayudarte a cumplir con la normativa sin fricciones.

Hablar con un experto

Mantente al día en IA y KYC

Recibe los mejores artículos sobre inteligencia artificial, verificación de identidad y cumplimiento normativo directamente en tu bandeja.

Sin spam. Puedes darte de baja en cualquier momento.

Otros recursos

security

Beneficios del KYA para Empresas y Usuarios

Descubre las ventajas de implementar KYA (Know Your Agent): protección contra fraude automatizado, control de agentes de IA, trazabilidad y cumplimiento normativo.

shield

Beneficios del KYC para Empresas y Usuarios

Descubre las ventajas reales de implementar un proceso KYC: desde la protección contra el fraude hasta la mejora de la confianza del cliente y el cumplimiento normativo.

gavel

Entidades Obligadas a Aplicar KYC en España y Europa

Lista completa de los sujetos obligados a cumplir con la normativa KYC y AML según la legislación española y las directivas europeas.

Joinble

Únete al poder de la IA.
Impulsa el futuro

Blog

Recursos

Oficina

Calle Hermosilla 48, 1º Dcha
28001 - Madrid - España

Contáctanos

contact@joinble.io

Sectores

Fintech & CriptoInmobiliariaMovilidadRecursos HumanosLujoHosteleríaBancaTelecomunicacionesMarketplacesCripto & Web3TokenizaciónE-HealthGaming & BettingViajesEducaciónE-CommerceInsurtechGobiernoPeople Tech

© 2026. Todos los derechos reservados.

Política de PrivacidadTérminos y Condiciones
Qué es KYA (Know Your Agent): Guía Completa | Joinble